El denominado banner de cookies RGPD se ha consolidado como un mecanismo habitual para recabar el consentimiento conforme al RGPD y al artículo 22.2 de la LSSI-CE, cuando una página web utiliza tecnologías de seguimiento.
Sin embargo, muchas webs siguen mostrando avisos que no cumplen plenamente con la normativa europea. En particular, el RGPD, la LSSI-CE y las directrices del Comité Europeo de Protección de Datos han establecido requisitos claros sobre consentimiento, transparencia y control del usuario. Así, las ideas clave a tener en cuenta son esencialmente:
- Primero, el consentimiento para cookies debe ser previo, informado y libre.
- Además, el usuario debe poder rechazar las cookies con la misma facilidad que aceptarlas.
- Igualmente, el banner debe incluir un panel de configuración accesible.
- Asimismo, las cookies no necesarias no pueden instalarse antes del consentimiento.
- Finalmente, el responsable debe documentar el consentimiento obtenido.
Por tanto, adaptar correctamente el banner no solo es una cuestión técnica. También es una obligación legal vinculada al tratamiento de datos personales.
Tabla de contenidos
- Marco normativo aplicable en el banner de cookies para cumplir el RGPD y la LSSI-CE
- El botón “rechazar”: requisito clave de consentimiento válido en el banner de cookies a la hora de cumplir el RGPD y la LSSI-CE
- Panel de configuración en el banner de cookies para cumplir el RGPD
- Obligaciones del responsable del sitio web en el banner de cookies para cumplir el RGPD
- Riesgos legales de un banner incorrecto
- Conclusión
- Preguntas Frecuentes (FAQ)
- Fuentes y recursos
Marco normativo aplicable en el banner de cookies para cumplir el RGPD y la LSSI-CE
En primer lugar, conviene recordar que el uso de cookies está regulado por varias normas europeas y españolas. Por tanto, entre las disposiciones más relevantes destacan:
- Primero, el Reglamento (UE) 2016/679 (RGPD).
- Segundo, la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).
- Tercero, la Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas.
- Cuarto, la Guía sobre el uso de cookies de la Agencia Española de Protección de Datos.
En particular, el artículo 6 del RGPD establece las bases jurídicas del tratamiento de datos personales. Asimismo, cuando las cookies permiten identificar o rastrear al usuario, el tratamiento se basa, con carácter general, en el consentimiento del interesado. Este se regula conforme al artículo 6.1.a del RGPD, en relación con el artículo 22.2 de la LSSI-CE.
Además, el artículo 22.2 de la LSSI-CE exige que los usuarios reciban información clara sobre el uso de cookies y que otorguen su consentimiento antes de su instalación, salvo en el caso de cookies técnicas necesarias. Por consiguiente, el cumplimiento normativo exige una configuración transparente del banner de cookies RGPD.
El botón “rechazar”: requisito clave de consentimiento válido en el banner de cookies a la hora de cumplir el RGPD y la LSSI-CE
En los últimos años, las autoridades de protección de datos han reforzado la exigencia de ofrecer un botón visible para rechazar cookies. De este modo, el Comité Europeo de Protección de Datos (EDPB) ha señalado en sus directrices que el consentimiento podría no considerarse válido cuando el usuario debe realizar acciones adicionales para rechazar cookies.
Asimismo, el artículo 7 del RGPD establece que el consentimiento debe poder retirarse con la misma facilidad con la que se otorgó. Por ello, un banner conforme a la normativa debería incluir fundamentalmente:
- Primero, el botón “Aceptar”.
- Segundo, el botón “Rechazar”.
- Tercero, el acceso al panel de configuración.
Además, estos botones deben presentarse, conforme a los criterios interpretativos de las autoridades de control, con similar visibilidad y accesibilidad.
Elementos obligatorios del banner de cookies conforme al RGPD
| Elemento del banner | Requisito legal | Fuente normativa |
| Botón “Aceptar” | Permitir al usuario consentir el uso de cookies | Arts. 6 y 7 RGPD |
| Botón “Rechazar” | Debe presentarse con un nivel de visibilidad y accesibilidad equivalente al de aceptar, conforme a los criterios interpretativos de las autoridades de control | Directrices EDPB + Art. 7 RGPD |
| Panel de configuración | Permitir seleccionar categorías de cookies | Art. 22.2 LSSI-CE |
| Información clara | Explicar el uso de cookies de forma comprensible | Arts. 12 y 13 RGPD |
| Bloqueo previo de cookies | No instalar cookies no necesarias antes del consentimiento | Art. 22.2 LSSI-CE |
Prácticas que pueden vulnerar la normativa
Asimismo, algunas configuraciones habituales podrían considerarse problemáticas:
- Para comenzar, botones de rechazo ocultos en segundas capas.
- También, colores que incentivan únicamente la aceptación.
- Igualmente, instalación automática de cookies antes del consentimiento.
Estas prácticas pueden vulnerar los principios del artículo 5 del RGPD, especialmente los relativos a transparencia y licitud del tratamiento.
Errores comunes en banners de cookies según el RGPD y riesgos legales
| Práctica incorrecta | Riesgo legal | Consecuencia posible |
| Ocultar el botón “rechazar” en segunda capa | Consentimiento no válido | Sanciones por tratamiento ilícito |
| Uso de colores que incentivan la aceptación | Consentimiento no libre | Incumplimiento del art. 7 RGPD |
| Instalación de cookies antes del consentimiento | Vulneración del deber de consentimiento previo | Sanciones administrativas |
| Información incompleta o poco clara | Falta de transparencia | Infracción del art. 5 RGPD |
| No permitir retirar el consentimiento fácilmente | Incumplimiento del principio de control del usuario | Requerimientos de la AEPD |
Panel de configuración en el banner de cookies para cumplir el RGPD
Además del botón de rechazo, la normativa, interpretada por las autoridades de control, exige que el usuario pueda configurar sus preferencias de forma granular. Por tanto, el banner debe permitir seleccionar qué tipos de cookies desea aceptar.
Categorías habituales de cookies
Normalmente, el panel incluye categorías como:
- Primero, cookies técnicas o necesarias.
- Segundo, cookies de análisis.
- Tercero, cookies de personalización.
- Cuarto, cookies publicitarias o de marketing.
Las cookies estrictamente necesarias pueden instalarse sin consentimiento. Sin embargo, las demás categorías requieren autorización previa.
Así lo establece el artículo 22.2 de la LSSI-CE, que exige consentimiento informado antes de almacenar o acceder a información en el dispositivo del usuario. Además, el panel debe ofrecer, esencialmente:
- Para comenzar, información clara sobre cada categoría.
- Seguidamente, identificación del proveedor de cookies.
- A continuación, acceso a la política de cookies completa.
Obligaciones del responsable del sitio web en el banner de cookies para cumplir el RGPD
Cumplir con los requisitos del banner de cookies conforme al RGPD implica asumir varias obligaciones como responsable del tratamiento. En particular, el RGPD exige demostrar que el consentimiento se obtuvo correctamente.
Obligaciones principales:
- Primero, registrar el consentimiento obtenido del usuario.
- Segundo, permitir modificar o retirar el consentimiento fácilmente.
- Tercero, actualizar la política de cookies con información detallada.
- Cuarto, identificar a terceros que puedan instalar cookies.
Estas obligaciones se relacionan con el principio de responsabilidad proactiva, recogido en el artículo 5.2 del RGPD. Además, el responsable debe poder demostrar el cumplimiento ante la autoridad de control. En España, esta función corresponde a la Agencia Española de Protección de Datos.
Riesgos legales de un banner incorrecto
Un banner mal configurado puede generar riesgos legales relevantes. En primer lugar, puede implicar un tratamiento ilícito de datos personales. En segundo lugar, puede derivar en sanciones administrativas.
Igualmente, las infracciones relacionadas con el consentimiento pueden sancionarse con multas administrativas. Estas se regulan en el artículo 83 del RGPD y su cuantía dependerá de la naturaleza, gravedad y duración de la infracción.
Además, la AEPD ha sancionado en diversas ocasiones a empresas por instalar cookies sin consentimiento válido. Por ello, revisar el banner periódicamente resulta esencial.
Conclusión
Adaptar correctamente el banner de cookies no es una mera formalidad. En realidad, constituye una obligación derivada de la normativa europea de protección de datos. Por ello, resulta fundamental que las webs incluyan:
- De un lado, botón visible para aceptar o rechazar cookies.
- De otro, panel de configuración accesible.
- A su vez, información clara en la política de cookies.
De este modo, el consentimiento del usuario podrá considerarse válido, siempre que se cumplan los requisitos establecidos en la normativa aplicable. En Legal Veritas analizamos tu sitio web y adaptamos tu banner de cookies RGPD a la normativa vigente para reducir riesgos legales y mejorar la transparencia con los usuarios.
Este texto está redactado con carácter meramente informativo y no supone asesoramiento experto. Cada caso debe estudiarse de forma individualizada. Por ello, si tu web todavía no cumple plenamente con la normativa de cookies, es recomendable realizar una revisión jurídica y técnica del sistema de consentimiento. Contacta con nuestro equipo de expertos.
Preguntas Frecuentes (FAQ)
Sí, en muchos casos puede resultar necesario para garantizar un consentimiento válido. Primeramente, el artículo 7 del RGPD exige que el consentimiento sea libre y que pueda retirarse fácilmente. Además, las directrices del Comité Europeo de Protección de Datos indican que rechazar cookies no debe implicar más esfuerzo que aceptarlas. Por ello, ocultar el rechazo en un segundo nivel podría afectar a la validez del consentimiento.
En general, no. Para comenzar, el artículo 22.2 de la LSSI-CE establece que el almacenamiento o acceso a información en el dispositivo del usuario requiere consentimiento previo. Sin embargo, esto se exceptúa en el caso de cookies técnicas necesarias para prestar el servicio solicitado. Por tanto, las cookies de análisis, publicidad o personalización no deberían instalarse antes de que el usuario haya aceptado.
La política de cookies debe proporcionar información clara y completa. En particular, el artículo 13 del RGPD exige informar al interesado sobre el tratamiento de sus datos personales. En el contexto de cookies, esto implica explicar qué cookies se utilizan, quién es el responsable del tratamiento y con qué finalidad se instalan. Asimismo, la Guía sobre cookies de la AEPD recomienda identificar proveedores, duración de las cookies y forma de retirar el consentimiento.
La responsabilidad corresponde al responsable del tratamiento, es decir, al titular del sitio web que decide utilizar cookies. De este modo, el artículo 4.7 del RGPD define al responsable como la persona o entidad que determina los fines y medios del tratamiento. Por tanto, incluso cuando las cookies pertenecen a terceros, el propietario de la web debe garantizar que su uso cumple con la normativa.
Fuentes y recursos
- LSSI-CE: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
- LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- RGPD: Reglamento (UE) 2016/679, Reglamento General de Protección de Datos.
- AEPD: Guía sobre el uso de las cookies.
Auditoría de tu CRM: ¿cumples con el principio de limitación de la finalidad y el plazo de conservación?
Deja una respuesta